Blog AVG Signal Segurança Ameaças Tudo o que você precisa saber sobre rootkits e como se proteger contra essas ameaças
What_is_a_Rootkit-Hero

O que é um rootkit?

Rootkit é um aplicativo (ou uma combinação de aplicativos) que oculta sua presença ou a presença de outro aplicativo em um dispositivo, como adwares ou spywares. Rootkits usam algumas das camadas mais baixas do sistema operacional (SO) para se esconder, incluindo redirecionamento de funções API ou funções de SO não documentadas, o que os torna quase indetectáveis por softwares anti-malwares comuns.

Este artigo contém:

    De onde vem o termo “rootkit”? Nos SO Unix e Linux, o administrador do sistema, uma conta toda poderosa com todos os privilégios e acessos irrestritos (similar ao administrador de conta no Windows), é classificado como “root” (raíz). Os aplicativos que permitem acesso não autorizado à root (no nível do administrador) do dispositivo e áreas restritas são conhecidos como “kit”.

    Junte as duas palavras inglesas e teremos o nome “rootkit”: um programa que dá a alguém (com intenções legítimas ou maliciosas) acesso privilegiado a um computador ou dispositivo móvel. Agora essa pessoa pode controlar o dispositivo remotamente sem que o proprietário saiba ou autorize.

    Infelizmente, é comum o uso de rootkits para dar acesso não autorizado a computadores, permitindo com que cibercriminosos roubem dados pessoais e informações financeiras, instalem malwares ou usem os computadores como parte de uma rede zumbi para enviar spams e participar de ataques DDoS (ataques distribuídos de negação de serviço).

    Imagine um ladrão que queira invadir e roubar sua casa. Ele se veste de preto para não ser percebido na escuridão e se move silenciosamente para que ninguém o note. Mas ao contrário do ladrão, que rouba algo e vai embora, um rootkit continua no computador roubando dados ou manipulando o que está na máquina.

    O rootkit é um vírus?

    O rootkit não é exatamente um vírus. Um vírus de computador é um programa ou código desenvolvido para danificar um dispositivo, corrompendo os arquivos do sistema, desperdiçando recursos, destruindo dados ou apenas sendo irritante. Uma diferença fundamental entre os dois é que vírus usam os recursos do computador para se replicarem e se espalharem por arquivos e outros computadores sem o consentimento do usuário.

    Ao contrário dos vírus, os rootkits não são necessariamente prejudiciais. O perigo está nas diferentes formas de malwares que um rootkit pode entregar, podendo, assim, manipular o SO de um computador e dar acesso a usuários remotos com permissão de administrador. Isso os torna ferramentas populares entre os cibercriminosos, dando uma reputação ruim aos rootkits.

    A instalação do AVG AntiVirus FREE é a melhor defesa de primeira linha contra rootkits maliciosos e muitos outros tipos de ameaças. Verifique seus dispositivos para detectar e remover rootkits da fonte e continuar protegido contra outros ataques de malwares com o AVG. E tudo isso de graça.

    O rootkit é um malware?

    Um rootkit é bem parecido com um malware (abreviação das palavras inglesas malicious software, que em português significa software malicioso). Trata-se de um programa desenvolvido para se infiltrar e roubar dados, danificar dispositivos, exigir resgastes e executar muitas outras atividades ilegais. Malwares abrangem vírus, cavalos de Troia, spywares, vermes, ransomwares e vários outros tipos de softwares.

    Rootkits modernos servem para encobrir os efeitos danosos de malwares.

    Como identificar um rootkit

    É difícil reconhecer rootkits pelo design. Eles são bons em se camuflar, o que torna sua detecção muito entediante. Mesmo produtos disponíveis no mercado e aplicativos de terceiros aparentemente benignos podem ter funcionalidades baseadas em rootkit. Um rootkit pode esconder atividades e informação do SO, evitando com que seu comportamento perverso seja exposto.

    Rootkit é meu nome, esconde-esconde é meu jogo.

    Mas como? Depois que um rootkit é instalado, ele se inicia ao mesmo tempo em que o SO do computador ou depois que o processo de boot começa. Há outros rootkits que podem ser iniciados antes do SO, tornando-os ainda mais difíceis de serem encontrados.

    Blue Screen of Death is a telltale sign that a malicious rootkit might be embedded in your computer.Fonte da imagem: https://en.wikipedia.org

    Sinais de rootkits maliciosos em ação - descritos como títulos de filmes e programas de TV:

    • O beijo da (tela azul) da morte: Mensagens de erro do Windows ou telas azuis com textos em branco enquanto seu computador precisa ser reiniciado constantemente.

    • Stranger Things: comportamento atípico do navegador, como o redirecionamento de link do Google e lista de favoritos não reconhecida.

    • Falha na inicialização: diminui o desempenho do computador ou provoca congelamento e falhas no dispositivo ao responder qualquer tipo de comando do mouse ou teclado.

    • A rede social: páginas web ou atividades de rede parecem não funcionar apropriadamente devido a tráfego carregado na rede.

    • “Out of Sight” (filme que, no Brasil, ganhou o título “Irresistível paixão”, mas que em tradução livre quer dizer “fora de vista”): mudança nas configurações do Windows sem permissão. Exemplos dessa ação podem ser mudanças no protetor de tela ou ter a barra de tarefas oculta.

    Como remover um rootkit

    A captura e remoção de rootkits não é uma ciência exata, já que eles podem ser instalados de muitas formas. Dependendo do caso, mesmo depois de verificar completamente a máquina, um rootkit ainda pode sobreviver. A boa notícia é que um antivírus equipado com verificador de rootkit, como o AVG, é muito eficiente na proteção contra malwares. Nossa tecnologia anti-rootkit, presente no AVG AntiVirus FREE, identifica, previne e remove rootkits e outras formas de softwares maliciosos. 

    De onde vêm os rootkits e como eles se espalham?

    Há algumas formas comuns com que cibercriminosos podem colocar um rootkit em um computador. Uma delas é explorando uma vulnerabilidade (um brecha em um software ou um SO que não foi atualizado) e jogar o rootkit no computador. Uma outra forma é através de links maliciosos, que podem ser enviados por e-mail, redes sociais ou como parte de um golpe de phishing. Malwares também podem ser empacotados com outros arquivos, como PDFs infectados, mídia pirateada ou aplicativos baixados de lojas suspeitas.

    A common way to distribute malicious rootkits is thru documents (PDF) attached to emails or instant messages, or by sending an infected link.

    Assim, quando pedimos para nunca confiar em estranhos, queremos dizer que você nunca deve abrir links ou documentos enviados por alguém que você não conheça, seja por e-mail ou aplicativos de mensagem. Nunca instale um “plugin especial” (passando-se por algo legítimo) para visualizar corretamente uma página ou abrir um arquivo.

    Ao contrário de vírus e worms, rootkits não se espalham ou se multiplicam sozinhos. Geralmente, rootkits são apenas um componente do que é chamado de ameaça mista ou combinada, que consiste de três partes de código: dropper, carregador e o rootkit.

    Ele funciona assim:

    A ativação de um dropper geralmente envolve uma intervenção humana, como o clique em um link malicioso, o que, por sua vez, inicia o programa carregador. Depois o dropper deleta a si mesmo, enquanto o carregador provoca um fluxo exagerado no buffer, o que significa que ele armazena mais dados na memória temporária do que ela pode suportar. Isso carrega o rootkit na memória do computador, criando uma backdoor (porta dos fundos, em tradução livre), que permite com que atores ruins (cibercriminosos, não o Nicolas Cage) modifiquem arquivos de sistema para que continuem não identificados pelo usuário ou por um antivírus menos potente.

    Agora eles têm acesso remoto ao SO e podem usar o computador infiltrado para enviar spams, pharming, ataques DDoS em larga escala ou roubo de dados sigilosos.

    Tipos de rootkits

    Há rootkits persistentes e outros não persistentes. O primeiro significa que o rootkit é capaz de se ativar sempre que o computador for iniciado. O outro se refere a rootkits que residem na memória e deixam de existir quando o computador é iniciado.

    Rootkits podem ser identificados pelas áreas do sistema que afetam e pela sua capacidade de se esconder.

    1. Rootkits no modo kernel operam no núcleo de um SO (nível kernel) e causam falhas frequentes no sistema. É assim que a equipe de suporte da Microsoft determina se o dispositivo da vítima foi infectado por um rootkit.

      Um golpista explora primeiramente o sistema do usuário carregando um malware no kernel, o que acaba interceptando chamadas do sistema ou adiciona seus próprios dados, filtrando qualquer outro dado retornado pelo malware que pode fazer com que seja reconhecido. Malwares baseados em kernel podem ser usados para cobrir rastros e esconder ameaças tanto no núcleo quanto nos componentes do modo usuário. Malandro!

    2. Rootkits no modo usuário podem iniciar normalmente como um programa durante a inicialização do sistema ou serem inseridos no sistema por um dropper. Eles oferecem funcionalidades parecidas às dos rootkits em modo kernel, como disfarçar e desativar o acesso a arquivos, mas operam em nível de usuário. Rootkits em modo usuário não são tão invisíveis quanto os que estão em modo kernel, mas por conta de sua simplicidade de implementação, acabam sendo muito mais disseminados.

      Rootkits em modo usuário são comuns em malwares financeiros. O Carberp, uma das formas de malware financeiro mais copiadas, foi desenvolvido para roubar credenciais bancárias e dados sigilosos de suas vítimas. Então tenha cuidado com e-mails spams dizendo se tratar de lembretes de pagamentos e faturas!

    3. Rootkits híbridos combinam características do modo usuário e do modo kernel. Essa abordagem é uma das mais comuns entre cibercriminosos, já que apresenta um alto nível de sucesso na invasão de computadores.

    4. Rootkits bootloader miram nas partes essenciais de um computador, infectando o registro mestre de inicialização, uma parte fundamental que dá instruções à máquina de como carregar o SO.

    5. Rootkits firmware podem se esconder no firmware - como um microprocessador ou roteador - quando o computador é desligado. Depois, quando o computador é reiniciado, o rootkit se reinstala.

    6. Rootkits baseados em máquina virtual transportam um SO em um ambiente virtual para que o rootkit e o ambiente virtual não sejam descobertos de jeito nenhum ou que sua detecção seja extremamente difícil. Um rootkit baseado em máquina virtual (VMBR, da sigla em inglês) carrega a si mesmo embaixo do SO existente, depois executa o SO como uma máquina virtual. Assim, um VMBR pode ficar imperceptível, a menos que uma ferramenta especial seja usada para procurar por isso. E assim ele segue.

    Sony BMG’s infamous rootkit became a cultural phenomenon as a punchline in comic strips like Foxtrot.Fonte da imagem:   https://hyperbear.blogspot.com

    Rootkits infames da história

    • O primeiro caso documentado de rootkit foi registrado por Stevens Dake e Lane Davis em 1990, em nome da Sun Microsystems para o SunOS Unix OS.

    • Em 2005, quando CDs ainda estavam na moda, a Sony BMG Music Entertainment instalou secretamente rootkits em milhões de discos de música para impedir que os clientes regravassem cópias de CDs com seus computadores e para informar a empresa quais máquinas estavam fazendo isso. O rootkit, que não podia ser identificado por antivírus e anti-spywares, abriu a porteira para que outros malwares se infiltrassem invisivelmente em PCs Windows. O caso se tornou um fenômeno cultural, servindo como trama de histórias em quadrinho como FoxTrot e um logo personalizado de camisetas.

    • NTRootkit (2008) Foi um dos primeiros rootkits maliciosos para Windows NT. Diferentes versões fazem coisas diferentes. Uma delas captura o uso do teclado, permitindo com que cibercriminosos descubram dados como nomes de usuários e senhas para acessar determinados serviços online.

    • Machiavelli (2009) Foi o primeiro rootkit desenvolvido para o Mac OS X. Ele cria chamadas de sistema ocultas e tópicos no kernel.

    • Greek Watergate (2004-2005) É um rootkit desenvolvido para o telefone Ericsson AXE da operadora Vodafone na Grécia, mirando e grampeando os aparelhos de membros do governo grego.

    • Zeus (2007) É um rootkit cavalo de Troia desenvolvido para roubar informações bancárias com ataques do tipo man in the browser (homem no navegador, em tradução livre) para interceptar a atividade do usuário no teclado e então roubar informações bancárias e capturar formulários.

    • O Stuxnet (2010) Foi o primeiro rootkit feito para atacar um sistema de controle industrial.

    • Flame (2012) Esse malware de computador ataca PCs com Windows e pode gravar atividades do teclado, capturar a tela, áudio e tráfego de rede, além de outras coisas.

    E aqui vai uma história maluca: ganhar 16,5 milhões de dólares pode causar algum furor, certo? Mas a coisa é um pouco diferente quando o chefe de segurança de uma grande associação de loterias dos EUA forja o resultado dos jogos. Eddie Tipton confessou ter criado um programa simples (um rootkit) chamado Quantum Vision Random Number Generator (gerador de números aleatórios de visão quântica, em tradução livre) - parcialmente copiado de uma fonte na internet. O sistema fez com que ele, seus amigos, parentes e até alguns estranhos ganhassem irregularmente a loteria inúmeras vezes. A ação era tão simples quanto inserir um pen drive na sala onde os números da loteria são sorteados. O golpe só foi descoberto 10 anos depois com a ajuda de um detetive especialista em ciência da computação.

    Como se proteger contra rootkits

    Mesmo que rootkits sejam malandros e traiçoeiros, há formas de evitá-los. Muitas das estratégias para escapar de rootkits também são boas práticas em computação e podem te proteger contra todos os tipos de ameaças:

    • Não abra anexos de e-mails enviados por remetentes desconhecidos

    • Não baixe arquivos desconhecidos

    • Certifique-se de que seu sistema conta com as correções apropriadas contra vulnerabilidades conhecidas

    • Instale um software com vigilância, verificando se é legítimo e que não tenha nada suspeito em seu Acordo de Licença de Usuário Final.

    • Use drives externos e pen drives com cuidado

    Além das dicas práticas acima, você pode instalar um antivírus robusto para montar um sistema de defesa ainda mais forte contra rootkits. Sabendo que alguns antivírus não são fortes o suficiente para detectar essas ameaças, o AVG AntiVirus FREE encontra e remove até mesmo o rootkit mais traiçoeiro e profundamente integrado. E é grátis.

    Proteja seu iPhone contra ameaças com o AVG Mobile Security

    Instalação gratuita

    Proteja seu Android contra ameaças com o AVG AntiVirus

    Instalação gratuita